Можно ли просто поставить шаблонный баннер из интернета?

Технически - да, но это иллюзия безопасности. Если баннер не блокирует cookies до согласия и не логирует согласия - он не считается. Регулятор смотрит на реальное поведение сайта, а не на наличие наклейки. Лучше использовать признанный сервис типа Cookiebot или Termly.

Что такое Consent Mode и зачем он мне?

Это режим Google Analytics 4 и Google Ads, который позволяет получать ограниченную статистику от пользователей, не давших согласие на cookies. Без него вы просто теряете 30-50% данных из ЕС. С марта 2024 Consent Mode v2 обязателен для рекламных кампаний Google Ads в ЕС.

Какой штраф реально получить за нарушение GDPR в Эстонии?

Теоретический потолок - 20 миллионов евро или 4% годового оборота. На практике эстонский регулятор Andmekaitse Inspektsioon чаще штрафует на тысячи евро, но публикует решения - и репутационный ущерб серьёзнее самого штрафа. Малому бизнесу выгоднее закрыть базовые требования, чем рисковать.

Главная/Услуги/GDPR-compliant сайт

GDPR-сайт под ключ

GDPR - это не баннер про cookies в углу, а полноценный комплект юридических и технических требований, обязательных для всех сайтов, работающих с пользователями из ЕС. Это касается любой эстонской OÜ и любого иностранного бизнеса, чьи клиенты заходят с европейских IP. Штрафы по GDPR доходят до 20 миллионов евро или 4% годового оборота - и Andmekaitse Inspektsioon (эстонский регулятор) действительно проверяет.

Веб-студия Enternet делает сайты, соответствующие GDPR, с 2018 года - с момента, когда регламент вступил в силу. Это значит: не только корректный cookie-баннер, но и согласия в нужных точках, политики, реестр обработки данных, форма запроса данных, механизм удаления, договоры с подрядчиками-обработчиками и хостинг в ЕС.

Получить расчёт

Что обязательно для GDPR

01Cookie-баннер с раздельным согласием на категории (необходимые, аналитика, маркетинг, персонализация) и возможностью отказаться так же легко, как согласиться.

02Privacy Policy / Политика конфиденциальности - подробная, на языке пользователя, с указанием целей, оснований, сроков хранения и получателей данных.

03Cookie Policy с поимённым списком всех cookies, их назначения и срока жизни.

04Согласие на маркетинговую рассылку - отдельный чекбокс, не предустановленный.

05Право на забвение - механизм удаления данных по запросу пользователя.

06Право на доступ к данным - экспорт всех данных пользователя в машиночитаемом виде.

07Реестр обработки данных (ROPA) - внутренний документ, который запросит регулятор при проверке.

08Договоры DPA (Data Processing Agreement) с подрядчиками: хостинг, рассылки, аналитика, CRM.

09DPO (Data Protection Officer) - назначается для крупных компаний и компаний, обрабатывающих чувствительные данные.

Cookie-баннер: какие платформы используем

Самописный баннер для GDPR делать не стоит: требования меняются, нужно сканировать cookies, поддерживать TCF v2.2 для рекламных систем, документировать согласия. Подключаем готовые сервисы, признанные регуляторами ЕС.

01Cookiebot - швейцарско-датский лидер, автоматический скан сайта, поддержка TCF, логирование согласий, есть бесплатный тариф до 100 страниц.

02Termly - американский сервис, удобно генерирует Privacy Policy и Terms по шаблонам с GDPR-чеклистом.

03Iubenda - итальянский сервис, удобно сразу генерирует Privacy Policy и Cookie Policy по шаблонам, хорошая локализация под ЕС.

04CookieYes - доступная альтернатива, простой интерфейс, бесплатный тариф для небольших сайтов.

05Usercentrics - корпоративный уровень, подходит для крупных проектов и медиа.

06Самописное решение - только в простых случаях, где cookies минимальны и не нужна автоматическая сертификация.

Формы согласия и право на забвение

01Каждая форма (контактная, подписка, заказ) - с раздельной галочкой на обработку персональных данных и отдельной на маркетинг.

02Чекбоксы не предустановлены: пользователь сам ставит галочку, иначе согласие недействительно.

03Фиксация факта согласия: timestamp, IP, версия политики - на случай запроса от регулятора.

04Double opt-in для рассылок через Mailchimp, Brevo, Klaviyo - подтверждение по почте.

05Право на забвение: форма запроса на удаление данных, процедура внутри команды, срок ответа до 30 дней.

06Право на экспорт данных - выгрузка всех данных пользователя в машиночитаемом виде (CSV/JSON).

Юридические документы и штрафы

Готовим Privacy Policy и Cookie Policy под ваш сайт, а не шаблон из интернета. Учитываем, какие именно данные собираете, кому передаёте, какие интеграции используете. Документы делаем на русском, эстонском и английском - в зависимости от языков сайта.

Andmekaitse Inspektsioon регулярно штрафует эстонские компании за нарушения GDPR: баннер не блокирует пиксели до согласия, нет Privacy Policy, рассылка без double opt-in, утечка данных без уведомления в 72 часа. Размер штрафа в эстонских случаях обычно несколько тысяч евро, но репутационный удар хуже денег - решения регулятора публичны.

Этапы работы

GDPR-аудит

Сканируем cookies, скрипты, формы, политики. Смотрим, где сайт нарушает GDPR.

Технический план

Подбираем cookie-сервис, настраиваем Consent Mode, готовим список изменений.

Юридические тексты

Пишем или адаптируем Privacy Policy, Cookie Policy, Terms на нужных языках.

Внедрение

Ставим баннер, привязываем к скриптам, настраиваем формы и double opt-in.

Тестирование

Проверяем, что без согласия не ставятся cookies маркетинга, что согласия логируются.

Документация

Готовим ROPA и инструкцию для команды - что делать при запросе данных.

Вопросы

Частые вопросы

Да. GDPR не зависит от размера бизнеса - он зависит от того, обрабатываете ли вы данные жителей ЕС. Если у вас есть форма обратной связи, Google Analytics или подписка на рассылку - вы обрабатываете персональные данные и обязаны выполнять GDPR.

Похожие

Приведём ваш сайт в соответствие с GDPR

Расскажите о задаче - подготовим решение и бесплатный расчёт стоимости. Без обязательств.

Оставить заявку